DSGVO – Was ändert sich für mich?

Unnötige bürokratische Hürde oder notwendiger Schritt zum Schutz personenbezogener Daten? Bei der DSGVO, der Datenschutz-Grundverordnung, scheiden sich die Geister. Die Verordnung soll ab dem 25. Mai 2018 einen einheitlichen Rechtsrahmen in der EU zur Verarbeitung personenbezogener Daten schaffen, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Allerdings sind viele der Meinung, die DSGVO führe nicht gerade zu einer Vereinfachung des Datenschutzrechts. Stattdessen bürde sie einer Menge Menschen umfangreiche bürokratische Pflichten auf und schaffe zunehmende Rechtsunsicherheit. Wir von Netrocks helfen Euch bei digitalen Trendthemen mit praktischen Problemlösungen und innovativen Ansätzen, beispielweise wie Big Data einen echten Mehrwert für Unternehmen liefern kann!

Die neuen Regeln der DSGVO können einen ganz schön verwirren
Die neuen Regeln der DSGVO können ganz schön verwirrend sein

Was ist die DSGVO?

Egal ob Onlineshop, E-Mail-Marketing, Werbe-Cookies oder Websiteanalysen mit Google Analytics – Die strengeren Schutzrichtlinien der Datenschutz-Grundverordnung gelten in Kürze für jeden, der Daten von Kund*innen, Mitarbeiter*innenn oder Geschäftspartner*innen erhebt und nutzt. In 99 Artikeln regelt das EU-Gesetz damit die Verarbeitung von personenbezogenen Daten im Netz – einheitlich europaweit. Diese Daten umfassen neben sensiblen Informationen wie Namen, biometrischen Daten oder Standort-Daten auch solche zur politischen Meinung, ethnischen Herkunft oder IP-Adressen!

Unternehmen müssen die Daten zukünftig sicher verwalten und dürfen diese nicht mehr ohne ausdrückliche Einwilligung zu Werbezwecken weitergeben. Außerdem müssen sie Auskunft geben, inwiefern Dritte die Daten ebenfalls nutzen und wo sie die Daten speichern. Auf Wunsch müssen sie die Daten der Kund*innen löschen. Wenn das nicht geschieht oder wichtige Belege fehlen, drohen saftige Bußgelder bis zu vier Prozent des Jahresumsatzes! Auf diese Weise, sollen Bürger*innen die Hoheit über die eigenen Daten soweit wie möglich zurück erhalten. Das klingt aus Sicht von Verbraucher*innen erstmal gut.

Eine übersichtliche Aufbereitung des offiziellen PDF der Verordnung findet ihr hier.

Was ändert sich dadurch für mich und mein Unternehmen?

Vieles ändert sich durch die Neuregelungen. Denn die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung usw. Beispielsweise müssen Websites ihre Besucher*innen in Zukunft darüber aufklären, welche Daten sie erheben. Jede(r) kann zudem die Informationen zur eigenen Person anfragen und den Zweck, aus dem diese gesammelt werden. Innerhalb eines Monats müssen die Firmen dann die Daten zur Verfügung stellen.

Allerdings haben wir in Deutschland einen kleinen Vorteil gegenüber den anderen Ländern: Da in Deutschland bereits ein recht hohes Datenschutzniveau galt, kommen hier nicht so viele Änderungen auf die Händler*innen zu, wie in einigen anderen EU-Mitgliedstaaten.

Checkliste

Der Händlerbund hat beispielsweise eine Checkliste für Onlineshops erstellt. Ihr könnte diese hier einsehen und Euch eine kostenfreie Auswertung als PDF erstellen lassen.

Wir haben hier außerdem eine kleine allgemeine Checkliste für Euch zusammengestellt:

1. Wenn nötig: Einen Datenschutzbeauftragten benennen

Unter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten benennen. Datenschutzbeauftragte sind Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert, also per EDV, verarbeitet werden. Die Fachkunde des Datenschutzbeauftragten muss, etwa durch Fortbildungen bei der Industrie- und Handelskammer, gewährleistet sein.

Ausnahme: Kleine Betriebe, in denen regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dann braucht ein Unternehmen keinen Datenschutzbeauftragten und Geschäftsführer*innen können selbst den Datenschutz übernehmen.

2. Legt Prozesse fest und schreibt ein Prozesshandbuch

Es empfiehlt sich alle mit Datenverarbeitung verbundenen Prozesse zu dokumentieren und – wenn nötig – zu optimieren. Zum Beispiel was geschieht, wenn Kund*innen darauf bestehen, dass sie ihre Daten löschen? Wer ist dann verantwortlich?

3. Legt ein „Verzeichnis der Verarbeitungstätigkeiten“ an

Aus Art. 30 der DSGVO ergibt sich, dass jedes Unternehmen ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen muss. Es reicht eine einfach Tabelle, in der man auflistet, welche Daten wann, wie und warum im Unternehmen erhoben werden. Hier solltet Ihr neben den Daten der Kund*innen auch interne Daten festhalten, die verarbeitet werden: Personaldaten, Daten aus der Lohnbuchhaltung etc.

In größeren Unternehmen sollte die Ernennung eines / einer Projektverantwortlichen erfolgen, der / die alle Mitarbeiter*innen oder Partner*innen befragt, die Datenverarbeitung verantworten.

4. Führt, wenn nötig, eine Datenschutz-Folgeabschätzung durch

Das gilt für alle Unternehmen, die mit besonders sensiblen Daten arbeiten. Das heißt eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie beispielsweise Krankheit, Sexualität, Finanzen, ethnische Herkunft oder politische Ansichten. Beim Missbrauch diesen Daten besteht ein besonders hohes Risiko für die Betroffenen. Eine offizielle Liste, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen, gibt es aber bislang nicht. Daher muss im Einzelfall entschieden werden.

Muss ich als Betreiber*in einer Website meine Datenschutzerklärung anpassen?

Auf alle Betreiber*innen von Websites und Shops oder Unternehmer*innen kommen mit der EU DSGVO Änderungen der Datenschutzbestimmungen zu. Nahezu alle Datenschutzerklärungen auf Websites müssen bis zum 25. Mai mit Geltung der DSGVO neu erstellt oder überarbeitet werden. Zum einen gibt es ein echtes Koppelungsverbot. Das heißt, dass Einwilligungen nicht mehr an den Download von bestimmten Inhalten wie Checklisten gekoppelt werden dürfen. Weiterhin gelten neue Informationspflichten für Seiten, die sich speziell an Kinder richten.

Für viele Betreiber*innen einer Website wird es ohne professionelle Beratung kaum möglich sein, die Anforderungen zu erfüllen und eine DSGVO-sichere Datenschutzerklärung zu erstellen. Lasst Euch im Zweifelsfall bei der Neufassung bzw. Umarbeitung Eurer Datenschutzerklärung anwaltlich beraten.

Wenn Ihr Euch zeitmäßig nicht in der Lage seht, Euch stundenlang mit Berater*innen oder teuren Seminaren auf die DSGVO vorzubereiten, hilft Euch das  DSGVO-Rettungspaket für Unternehmen von t3n und audatis Consulting.

WordPress Themes